[스크랩] 상반기 PC보안의 10대 이슈는?

쓰는 일/프로그램 2007.07.12 23:02 Posted by soulfree >동네청년<
국내 최대 정보보안 기업인 안철수연구소(www.ahnlab.com)는 올해 상반기 보안 동향을 분석해 10대 이슈를 발표했다. 눈여겨볼 만한 특징은 웹2.0 흐름에 맞추어 악성코드 역시 그에 편승해 지능화했다는 점.

올해 상반기에 새로 발견된 악성코드는 3306개로 지난해 상반기 1531개 대비 2배 이상 급증했다. 이에 반해 스파이웨어는 1070개로 전년 동기 3160개에 비해 3분의 1로 줄었다. (위 표 참고) 스파이웨어의 경우 신종 발견 숫자는 줄었지만 UCC를 이용한 스파이웨어 유포 급증, 스파이웨어와 허위 안티스파이웨어 기승 등 위협이 확대되고 있는 상황이다.

1. UCC 이용한 스파이웨어 유포 급증

UCC(User Created Contents)를 이용한 스파이웨어 배포가 증가했다. 동영상 또는 플래쉬(Flash) 파일에 스파이웨어 설치를 유도하는 코드가 삽입되는 경우는 2005년부터 발견됐으나, 올해부터는 공략 대상 UCC가 더 다양해졌다. 특히 동영상을 보기 위한 필수 프로그램이라고 속이거나 미니 홈피 방문자 추적용 프로그램이라고 속이는 UCS(User Created Software)들이 스파이웨어를 설치하는 도구가 되고 있다.

2. 블로그도 해킹 대상으로 부상

다양한 툴이 제공됨에 따라 블로그를 개설 및 운영하기가 수월해져 블로그 수가 급증하고 있다. 그러나 블로그 관리용 아이디, 비밀번호가 쉽거나 여러 군데에 같은 것으로 사용할 경우 아이디, 비밀번호가 유출돼 피해를 당하는 경우가 많다. 특히 보안에 허술한 웹사이트에 개설한 블로그의 경우도 그 웹사이트 서버가 해킹을 당하면 관리자 권한을 잃는 일이 발생한다. 이는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다. 특히 오랫동안 휴면 상태로 방치된 블로그는 피해를 당하고도 모르는 경우가 많다.

3. 메신저 통한 웜 유포 급증

연초부터 메신저를 통해 유포되는 악성코드가 자주 출현했다. ‘Look at this: http://1960.basu????dewa.com/5/496’ 등 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다. 해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는, 광고성 메시지까지 등장했다.

4. 윈도 비스타 취약점 노린 제로 데이 공격 첫 등장

윈도 비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격이 처음 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.

5. 파밍 공격 국내 첫 발생

뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인 정보는 물론 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.

6. ARP 스푸핑 공격 통한 악성코드 유포 첫 발생

올해 상반기에 ARP(Address Resolution Protocol; 주소결정 프로토콜. IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜) 스푸핑(Spoofing; 위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안이 강화하자, 네트워크의 서브넷(subnetwork. 어떤 기관에 소속된 네트워크이지만 따로 분리된 한 부분으로 볼 수 있는 네트워크. 일반적으로 한 서브넷은 한 지역, 한 빌딩 내에 있는 모든 컴퓨터들을 나타낼 수 있음) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다. 어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.

7. 백신 제작 방해하는 바이러스 기승

작년에 바이킹(Viking) 바이러스가 국내외에 심각한 피해를 준 데 이어 올해는 델보이(DellBoy), 바이럿(Virut), 알만.C(Alman.C) 바이러스의 변형이 다수 발견돼 심각한 위협을 주었다. 이 바이러스들은 분석 및 백신 제작을 지연시킬 목적으로 자신을 은폐하거나 암호화했다는 점에서 이전보다 더 지능화했다.

8. 온라인 게임 계정 유출 스파이웨어 강세

2006년 하반기부터 증가하기 시작한 온라인 게임 계정 유출 스파이웨어의 피해는 최근까지 이어지고 있으며, 2007년 1월에 최고조에 달했다. 중국발 해킹에 의해 보안에 취약한 웹사이트가 변조되고, 여기에 악성코드가 삽입되면, 취약점 패치를 하지 않은 인터넷 익스플로러 사용자가 해당 웹사이트에 방문하는 것만으로 쉽게 감염된다. 일부 변형은 네트워크로 전파되어 여러 사용자에게 피해를 주었다.

9. 스파이웨어 및 허위 안티스파이웨어 기승

스파이웨어 제작사와, 이를 배포하는 업자 간 제휴가 증가함에 따라 스파이웨어 및 허위 안티파이웨어가 여전히 기승을 부렸다. 이것들은 광고, 유료 사용자 확보 및 설치 배당금 등의 금전적인 이익을 목적으로 한다. 무차별적으로 배포되는 스파이웨어나 허위 안티스파이웨어는 악성코드에 감염된 채로 배포되거나 악성코드 감염의 매개체가 되는 경우가 적지 않다.

10. 윈도 애플리케이션 취약점 위협 증가

올해 상반기에 발표된 MS 윈도 관련 애플리케이션 취약점은 총 26개로 전년 동기(19개) 대비 26.3% 증가했다. 특히 인터넷 익스플로러와 오피스의 취약점이 절반을 차지했다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다. 또한 국내 인터넷 사이트에서 많이 사용되는 액티브X 애플리케이션의 취약점도 속속 발견되고 있다. 수상한 발신인이 보낸, 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.

안철수연구소 강은성 상무는 “웹2.0의 개방·공유·참여의 철학은 보안 대책이 뒷받침될 때 빛을 발할 수 있다”며 “안전을 위해서는 보안 패치 적용을 비롯해 V3, 빛자루 등 통합 보안 제품의 실시간 감시 및 업데이트 등 기본적인 수칙을 습관화하는 것이 필수적”이라고 강조했다.

신고
TAG 보안
패션잡지를 발간하는 'ㄱ'출판사의 편집부에 근무하는 '홍길동'씨는 오늘까지 제출해야하는 7월호의 특집 화보의 편집에 모든 신경을 집중하고 있습니다.
이 때 갑자기 PC의 화면에 출력되는 바이러스 경고창.


<이런 바이러스가 시도때도 없이 화면에 나타나면 정말 짜증나죠?>

마감시간에 ?i기던 '홍길동' 씨는 별생각 없이 '치료' 버튼을 누르고 다시 업무에 몰두하지만 몇 초를 주기로 지속적으로 화면에 바이러스 경고창이 출력됩니다.
밀려있는 업무때문에 스트레스도 머리 끝까지 받아있는데, 계속 바이러스가 들어온다고 표시되니 짜증과 백신에 대한 불신감이 증폭되기 시작합니다.
'도데체 치료를 하는데도 왜 계속 감염된다고 뜨는거야? 이 백신 치료를 제대로 하기는 하는거야?'
백신회사에 전화를 걸어 '이 따위걸 백신이라고 팔아!' 라고 호통이라도 칠까? 업무하는데 방해되는데 차라리 백신을 컴퓨터에서 지워버릴까?
하는 고민을 하기 시작하는 '홍길동' 씨입니다.

실제로 위와 같은 사례로 바이러스 체이서에 전화를 걸어서 문의하시는 분이 많습니다.
"분명히 치료를 했는데도 계속 감염됩니다. 왜 그런건가요?"
물론 이 질문에 대한 답은 문의하신 분의 상황에 따라 여러가지가 있을수가 있습니다.
하지만 이 질문에 대해서 다음과 같은 답변을 가장 많이 하게 됩니다.
"윈도우즈 업데이트를 시켜 주시구요. Administrator 계정에 암호를 걸어주세요."
컴퓨터에 위의 사항만 실시해 주셔도 바이러스를 잡았다며 귀찮게 하는 화면을 보는 일은 많이 줄어들 것입니다.

1. Worm 바이러스에 대한 이해
이런 상황을 많이 만들어 사람들을 귀찮게 하는 바이러스중 대표적인 바이러스로 Worm 바이러스가 있습니다.
위에서 '홍길동'씨를 귀찮게 한 바이러스도 이런 Worm 계열의 바이러스중 하나이구요.
Worm 바이러스는 많은 바이러스중 한 형태로 그 특징을 한마디로 표현하자면 '스스로 복제하고, 스스로 전파한다.' 입니다.
'원래 다 그런거 아니야?'라고 생각하실분도 계실지 모르지만, 다른 바이러스는 컴퓨터를 사용하는 사용자의 행동에 의하여 전파되는 경우가 대부분입니다.
예를 들어, 인터넷 서핑을 하다가 어떤 사이트에서 '엄청 재미있는 XXX 게임'이란 게임을 발견했습니다.
'엄청 재미있는 XXX 게임'을 받자마자 두근거리는 마음을 진정시키며 실행시켰는데, 실행도 제대로 안되고 그때부터 다른 프로그램들도 실행이 안되는 겁니다. 혹시나 해서 여기저기 물어보니까 바이러스에 걸렸을거라네요.
이런 경우 파일 감염형 바이러스에 걸린 것으로 볼 수 있습니다. '엄청 재미있는 XXX 게임'이란 프로그램을 실행시킴으로서 해당 바이러스가 동작하는 거지요.
그 반면 웜은 사용자가 컴퓨터만 켜놓고 아무런 행동을 하지 않아도 '스스로' 컴퓨터 안으로 들어와서 자신을 증식시키고, 또 주위의 다른 컴퓨터를 찾아 네트워크를 향해 나아갑니다.
더군다나 이렇게 자신을 감염시키고 다른 컴퓨터를 찾아가는 속도가 눈 깜짝할 사이이기 때문에 여러대의 컴퓨터를 사용하는 큰 사무실이라도 컴퓨터 한 대만 이러한 Worm 바이러스에 감염되면, 거의 1분 안에 사무실 내의 다른 모든 컴퓨터도 Worm 바이러스에 감염된다고 볼 수 있습니다.
특히 주위의 Worm에 감염된 컴퓨터가 지속적으로 바이러스를 유포하기 때문에 바이러스를 한번 치료했더라도 몇번이고 다시 내 컴퓨터로 바이러스가 들어올 수 있는 것입니다.

2. 그럼 어떻게 해야 할까요?
먼저 말씀드렸듯이 "윈도우즈 업데이트를 시켜 주시구요. Administrator 계정에 암호를 걸어주세요." 라는 대답이 정답입니다.
Worm 계열의 바이러스들이 자신을 스스로 전파하기 위한 몇가지 행동을 합니다.
그중 하나가 자신을 전파하려고 시작하는 컴퓨터가 가진 보안 취약점을 찾아 그 보안 취약점을 이용하여 자신을 전파합니다.
'보안 취약점'이란, 윈도우즈가 가진 버그일수도 있고, 윈도우즈의 제작자가 일부러 넣은 기능이지만 이런 기능이 악의적인 목적으로 사용될 수 있을때도 '보안 취약점'을 가졌다고 말할 수 있습니다.
그래도 '보안 취약점'에 대해서 이해가 되지 않는다면 다음의 예를 참고하세요.
'센주먹'라는 이름의 아마추어 복서가 있습니다. 이 복서는 기술도 좋고 힘도 좋은데 체력이 약합니다. 만약 이 '센주먹' 복서와 대결하는 사람이 '센주먹' 복서의 체력이 약하다는 사실을 알고 있다면, 방어에만 충실하면서 이 복서의 체력이 고갈되기를 기다리는 전략을 이용해서 승리를 이루어낼 수 있을 것입니다.
이처럼 '체력이 약하다'는것이 '센주먹'복서의 '취약점'이죠.
이 '센주먹' 복서가 약한 체력을 극복하기 위해 매일 운동장을 뛰면서 자신의 취약점을 극복한다면 결국 최고의 복서가 될 것입니다.
이처럼 '센주먹' 복서가 운동장을 뛰어 자신의 취약점을 없앤 것처럼 윈도우즈도 '업데이트' 신공을 이용하여 자신의 취약점을 없앨 수 있습니다.


<윈도우즈의 시작버튼을 누르고 시작메뉴의 상단에 위치한 Windows Update를 망설임 없이 눌러주세요.>

그렇기 때문에 윈도우즈 업데이트가 중요한 것입니다.
적어도 일주일에 한번씩은 새로운 윈도우즈 업데이트가 있는지 확인하고 설치하는것이 좋습니다.
하지만 이런 일련의 과정이 귀찮으신 분들을 위하여 마이크로 소프트는 자동업데이트라는 프로그램을 준비해 놓고 있으니 마음껏 사용하시기 바랍니다.


<제어판의 시스템을 더블클릭 하세요.>

Worm 계열의 바이러스가 자신을 전파시키기 위해 행하는 동작중 다른 하나가 윈도우즈의 Administrator 계정의 권한을 획득하려는 것입니다.
일반적으로 여러대의 컴퓨터를 사용하거나 회사와 같이 컴퓨터가 자료를 주고받기 위해서 많이 사용하는 기능이 폴더공유 입니다.
내 컴퓨터의 IP만 알고 있으면, 전세계 어디서나 내 컴퓨터의 공유 폴더로 접속해서 자료를 가져가는것은 물론 자료를 수정, 생성할 수도 있습니다.
분명 유용하게 사용되는 윈도우즈의 기능이지만 Worm 은 이런 공유폴더의 특성을 이용해 다른 컴퓨터의 공유폴더에 자신을 복사해 넣을 수 있습니다.
이를 방지하기 위하여 윈도우즈의 Administrator 계정에 반드시 패스워드를 설정해주어야 합니다.
Administrator 계정에 패스워드가 설정되어있으면, 공유폴더에 접근시 계정과 패스워드를 입력해 주어야하기 때문입니다.


<계정에 암호가 설정되어 있으면 패스워드를 입력해야만 공유폴더에 접근 할 수 있습니다.>

그런데 최근의 Worm 바이러스들은 예전보다 더 똑똑해져서 암호화 사전을 가지고 다니기도 합니다.
공유폴더 접근시 Administrator의 계정명과 자신이 가지고 있는 암호화 사전에 미리 정의되어 있는 암호들을 하나씩 대입해보고 맞는게 있으면 공유폴더에 접속하기 위해서입니다.
이런 암호화 사전을 보면 '123456'이나 'abcd'같은 유추하기 위운 문자열부터 'love', 'school'과 같은 쉬운 단어들이 적게는 몇백개, 많으면 몇천개가 포함되어있습니다.
이러니 이제 암호를 쉬운것으로 정할 수도 없습니다.
지금껏 암호를 '123456'으로 사용하면서 의기양양해 하시던분들이 깜짝놀라시는 모습이 보이는군요.
이런 분들은 지금 빨리 암호를 좀더 어려운 것으로 바꿔주세요.


<제어판 -> 관리도구 -> 컴퓨터관리에서 Administrator의 패스워드를 변경해 주세요.>

바이러스의 종류가 늘어날수록, 바이러스가 똑똑해져 갈수록 컴퓨터를 사용하는게 점점 귀찮은 일이 되어가는군요.
하지만 컴퓨터라는 도구를 과감히 버릴 수 없다면, 울며 겨자먹기로라도 이런 귀찮은 과정을 따라가주는 센스가 필요하지 않을까 생각됩니다.
신고